El framework VERIS

Hace un par de semanas se realizó en Valencia una jornada de seguridad organizada por ISMS Forum donde pude asistir, entre otras, a una charla de Jelle Niemantsverdriet (el principal consultor forensics de Verizon), quien, aparte de remarcar la importancia de los logs para llevar a cabo sus análisis —importancia que también se ha remarcado en distintas entradas en este blog—, presento brevemente el framework VERIS desarrollado por Verizon.

El framework VERIS (Verizon Enterprise Risk and Incident Sharing) proporciona un lenguaje común para describir incidentes de seguridad de forma estructurada y repetitiva, basado en lo que denominan las cuatro ‘A’:

Agent: ¿Quién genera el incidente?

Action: ¿Qué acciones se llevan a cabo?

Asset: ¿Qué activos se ven afectados?

Attribute: ¿Cómo afecta al activo?

También proporciona una aplicación para reportar y compartir de forma anónima incidentes de seguridad clasificados por el framework VERIS, de forma que se crea una base de datos de incidentes para toda la comunidad y se consiga una mejor gestión del riesgo al disponer de otras experiencias. A través de su web podemos ver distintos ejemplos de incidentes ficticios clasificados por la metodología VERIS (podemos crear estos incidentes desde su web), clasificados según las cuatro ‘A’ vistas anteriormente.

Una idea que me da esta información sería la posibilidad de alimentar un sistema de correlación de incidentes de forma que se pudieran predecirse probabilidades de ataques basadas en patrones de uso de incidentes anteriores ya reportados en el sistema. Dentro de la jornada del ISMS, muchos de los ponentes hablaron precisamente de esto,:de disponer de un conocimento común acerca de incidentes de seguridad para poder predecirlos y mejorar las herramientas existentes para mitigarlos.

¿Qué opinan los lectores de este framework y este método de trabajo? ¿Compartirían ustedes con la comunidad, aunque fuera de forma anónima, sus incidentes de seguridad?